虚拟系统访问根系统

虚拟系统与根系统互访
虚拟系统与根系统互访有两种场景：虚拟系统访问根系统、根系统访问虚拟系统。这两种场景下，报文转发的流程略有不同。

虚拟系统访问根系统
如图1所示，虚拟系统vsysa下10.3.0.0/24网段的用户通过根系统的公网接口GE0/0/1访问Internet服务器3.3.3.3。
图1 虚拟系统访问根系统示意图

该场景是虚拟系统向根系统发起访问。报文先进入虚拟系统，虚拟系统按照防火墙转发流程对报文进行处理。然后报文进入根系统，根系统再次按照防火墙转发流程对报文进行处理。具体过程如下。
（1）客户端向服务器发起连接。
（2）首包到达FW后，基于接口分流，被送入虚拟系统vsysa。
vsysa按照防火墙转发流程对报文进行处理，包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。如果vsysa不允许转发报文，则丢弃报文，流程结束；
如果vsysa允许转发报文，则将报文送入根系统中处理。同时，vsysa会为这条连接建立如下会话。
<FW> display firewall session table verbose vsys vsysa destination global 3.3.3.3

（3）根系统的虚拟接口Virtual-if0收到报文后，根系统按照防火墙转发流程对报文进行处理，包括匹配黑名单、查找路由、做NAT、匹配安全策略等等。
如果根系统不允许转发报文，则丢弃报文，流程结束；如果根系统允许转发报文，则将报文发往服务器。
同时，根系统会为这条连接建立如下会话。
<FW> display firewall session table verbose destination global 3.3.3.3

（4）报文经过路由转发后，到达目的服务器。
因为虚拟系统和根系统都需要按照防火墙转发流程对报文进行处理，所以虚拟系统和根系统中要分别完成策略、路由等配置。
a、策略配置的关键在于确定源和目的安全区域。

b、虚拟系统和根系统路由的配置方法略有不同。